上原哲太郎先生

IoT(Internet of Things: モノのインターネット)は、2010年代後半から名実ともに急速に社会に浸透してきた。家電製品や監視カメラ、さらには自動車といった「モノ」がインターネットに接続されることで将来的に得られるメリットは計り知れないが、そのセキュリティ上の脅威にも目が向けられはじめている。

2020年に設立した立命館大学 IoTセキュリティ研究センターでは、そんなIoTセキュリティに関する課題に多角的に取り組んでいる。サイバーセキュリティの第一人者であるセンター長の上原哲太郎先生(情報理工学部 情報理工学科 教授)にお話を伺った。

産業界の未来を脅かすIoTセキュリティの大きな穴

まだあまり聞き慣れない言葉であるIoTセキュリティ。上原先生は、この問題の背景から話をはじめてくれた。

「これまで、インターネットセキュリティの課題といえば主にウェブサイトとマルウェア(いわゆるコンピュータウイルス)の2つに代表されていました。日本でも2000年代に省庁のウェブサイトが相次いで改ざんされる事件が起こったり、ブラスターと呼ばれるマルウェアが猛威を振るったりと社会的に大きな被害が発生し、それを受けて対策もなされてきました。

一方、IoTのセキュリティに大きな穴があいていることが認識されはじめたのはここ最近のことです。契機になったのは2016年に現れたMIRAIというマルウェアでした。このマルウェアはWEBカメラや無線LANルータといったIoT機器に感染して増殖します。Krebs On Securityという著名なサイトが攻撃されたことが話題となり、この頃からIoTのセキュリティ対策の機運が高まってきました」

IoTのセキュリティ課題は、産業界に漠たる不安として重くのしかかっているという。放置しておけば、将来的には自動運転技術の普及などに大きな障害となるだろう。そうしたニーズがあることを知った上原先生は、研究拠点の設立を構想したそうだ。

「私自身は総務省で情報セキュリティ対策に従事していた経験もあり、国が示すIoTセキュリティ施策に産学が連携して取り組んでいくことが必要だと感じていました。そこで提携先としてまず思い浮かんだのが、セキュリティ関係のイベントやシンポジウムでご縁の深かったICT企業のアドソル日進さんでした。提携を打診したところ快諾をいただき、それを契機に立ち上げた研究拠点がIoTセキュリティ研究センターです」

IoTセキュリティの課題に多角的に取り組む

センターでは「IoTセキュリティ技術基準の検討」「IoTセキュリティの確保に資する要素技術の開発」「IoTセキュリティに対応した技術者養成」「セキュリティ啓蒙コンテンツの展開」という4つの事業を設定して、IoTセキュリティ課題に多角的に取り組んでいる。その中で現在最も力を入れているのは、技術者の養成だ。

「IoTを担う家電製品や機器類のソフトウェアエンジニア、いわゆる組み込み系エンジニアの方々は、常に信頼性の高いものを求められるがゆえに、新しい技術に対して保守的な傾向にあります。外部の環境がどんどん変わっていくにもかかわらず、組み込みのソフトウェアでは20年前の技術がそのまま使われていたりする。たとえばIoT対応エアコンでも、本体の制御部分に通信機能をつけるのではなく、インターネット接続された通信モジュールから本体にリモコンと同じ信号を送るというある種アナログな方法が取られています。たしかにセキュリティ対策としては安全なのですが、技術の進歩、イノベーションという意味では大きなブレーキがかかってしまっているのが現状です。

そこで私たちは、セキュリティを確保しつつ新しい技術を積極的に取り込んでいけるような技術者を養成したいと考えています。そのための教材として、インターネットに接続できる監視カメラの雛形をアドソル日進さんと開発しました。この教材を使って外部から攻撃を受けている状態を再現して、その対処や攻撃を受けにくいソフトウェア開発を学んでもらうのです。実際にこれまで数十名の企業エンジニアさんにこの教材を使った講習を受けていただき、その効果を修士課程の学生が論文にまとめてくれています」

人材養成では企業との連携が重要だ。教育プログラムを展開するためのコンソーシアムを立ち上げて、会員企業向けに講習会やセミナーを開催しているほか、教材開発などのプロジェクトにも会員企業数社が参画しているという。

教材を使ったエンジニア向けセミナーの様子
教材を使ったエンジニア向けセミナーの様子

並行して、あとの3つの事業も進行中だ。「IoTセキュリティ技術基準の検討」では、メーカーが製品開発で参照するためのIoTセキュリティガイドラインをつくることをめざしている。

「センターを立ち上げた頃に、経産省では産業界に求められるIoTセキュリティ対策の枠組みとして『サイバー・フィジカル・セキュリティ対策フレームワーク』が策定されました。これは国際的なセキュリティ基準を取り入れた野心的なものでしたが、実務的な視点よりも理念が先行していたこともあり、現場のエンジニアに取り組んでもらうためのガイドラインに落とし込む必要がありました。自動車業界など大きな業界団体は独自にガイドラインをまとめることができるかもしれませんが、中・小規模の業界ではそうしたセキュリティ対策の旗振り役となる団体が存在しないという状況もあります。そこで私たちは、さまざまな業界で活用できるガイドラインを作成したいと考えてその準備に取り組んでいます」

「IoTセキュリティの確保に資する要素技術の開発」の発想はシンプルで、センターに所属する研究者が持っている技術をIoTセキュリティという観点から洗い出して、シーズとして産業界に提供していくことをめざしている。「IoTセキュリティというと限定的な話になってしまいがちなのですが、OSのセキュリティ、ブロックチェーン、IoTに活用できる通信技術といったそれぞれの専門分野を活かして、IoTとセキュリティに関わる技術を幅広く研究しています」

ここまでは主にメーカーや技術者に向けた取り組みだったが、セキュリティは技術者だけでなく、ユーザーである市民全員に関わってくる問題だ。そこで、今後はユーザーに向けたセキュリティ啓蒙コンテンツの開発も重要になってくる。「IoTに関しては、セキュリティに関する知識がない人でも安心して使えるような技術をめざすことが目下の課題ですが、一方でIoTに限らずセキュリティ全般の脅威についての啓蒙に取り組んでいくことも必要です。その手段としてVTuberによる啓蒙動画なども作成しました」。作成した動画は効果測定を行い、より効果的な表現方法を模索しているそうだ。

YouTubeで公開している、インターネット詐欺への注意を促す啓蒙動画
YouTubeで公開している、インターネット詐欺への注意を促す啓蒙動画

セキュリティの要は「人」である

技術開発やルールの整備と同等かそれ以上に人材育成を重視する背景には、上原先生のこれまでの経験があるそうだ。

「私が大学教員になったのは1995年のことですが、着任した大学では学内の情報システムを管理する少し特殊な立場の教員として勤務していました。大量のネットワークに接続された大量のコンピュータ、更にその向こうの大量のユーザーを相手にしていると、毎日大量のトラブルが起こります。そこで痛感したのは、セキュリティ技術も大切だけど技術だけでは歯が立たないということです。セキュリティ上のすべての穴を塞ぐことは現実的ではないので、悪意を持って攻撃してくる人の気持になって、狙われそうな箇所を先回りして対処することが必要になるのです。

ユーザーに課すルールについても似たようなことが言えます。ルールさえつくれば大丈夫だろうという考えはまったく甘くて、ユーザーの数パーセントはルールを逸脱したり、そもそも従う気がないという人もいます。突き詰めると、そういう人にいかにルールを守らせるかという組織論になってきます。結局、システム管理者として対応しているだけでは限界があったので、その大学ではセキュリティポリシーをつくるところからお手伝いをさせていただくことになりました」

いずれにしても最終的にセキュリティの要となるのは「人」なのだと上原先生。では、その「人」をどう育てればいいのか? IoTに関わる技術者のマインドを変えるためには、外部の視点から企業に関わり、問題点を見つけ、刺激を与える存在が大切だという。

「どこの企業でも、新しい技術に対して前向きなエンジニアさんほど先ほどお話ししたような保守的な組織の風土にもどかしさを感じているものです。私たちはそうした組織の中間層をどう引き上げるのかという視点で、教材づくりなどの取り組みを行っています」

そんな教材づくりにもゴールが見えてきたので、次はさらにステップアップして、エンジニア向けの教科書や動画コンテンツの開発をめざしているそうだ。

上原哲太郎先生
お話を伺った上原哲太郎先生。「社会を覗いて問題を見つけ、それを持ち帰って解決策を考え、また社会に戻すというのが私の研究スタイルです。企業と連携することの最大のメリットは、外部の視点から課題を見つけやすいということですね」

技術が社会を変えるとき、あいた穴を塞ぐのがセンターの役割

センターとしての短・中期的な目標は、技術者の育成・リスキリングを通じて新しい技術開発につながる場になることだと言う上原先生。さらにその先にはどんな未来を描いているのだろうか。

「今、興味を持っているのは、IoTの延長にあるロボットに関する技術です。立命館大学では、OIC(大阪いばらきキャンパス)を拠点としてロボットが人々を支える社会実験のフィールドをつくるプロジェクトが進行しています。私も運用ガイドラインの側面からこのプロジェクトに参画しているので、いずれはセンターとしての取り組みとも接続できればと考えています。

個人的な関心としては、積極的に人を助けるというよりはコミュニケーションを通じて癒やしを与える、いわゆる『弱いロボット』で日本のロボット技術の巻き返しを図れないかというところにも注目しています。さらに先の話としては、内閣府がムーンショット型研究開発制度で目標のひとつに掲げているサイバネティックアバター(遠隔操縦によって本人に代わって社会生活を送るロボットの分身)についても考えています。ロボットが人そのものとして認識される世界が来れば面白いですが、乗っ取りなどのサイバー攻撃の危険性も上がります。新しいセキュリティとして、確実に本人であることを保証するような技術も必要になってくるでしょう。

私たちの仕事は、新しい技術によって社会が変革するときに、社会にあいた穴を見つけて塞いでいくことです。これからも先生方や企業の方々と一緒に、力を合わせて取り組んでいきたいです」

関連情報

NEXT

2023.02.27 TOPICS

亀田誠治氏の特別講義「オンライン、オフライン どっちがいい?」を開催

ページトップへ